Sicherheit und Datenschutz

Überblick

Mindbreeze ist Teil der Fabasoft Gruppe (Tochterunternehmen) und verwendet die Fabasoft Cloud Plattform. Die Fabasoft Sicherheitsleitlinie gilt auch für Mindbreeze.

Fabasoft Sicherheitsleitlinie:

Fabasoft stellt Datenschutz und Informationssicherheit mit der Verabschiedung der Fabasoft Sicherheitsleitlinie als Bestandteil der Fabasoft Gesamtstrategie auf eine verbindliche Ebene. Die Sicherheitsleitlinie kommuniziert den Stellenwert der Informationssicherheit, die Fabasoft Informationssicherheitsziele, die Organisation des Informationssicherheitsmanagements sowie getroffene Sicherheitsmaßnahmen und das kontinuierliche Verbesserungsbestreben im Bereich der Informationssicherheit.

Die Fabasoft Sicherheitsleitlinie steht als PDF zum Download zur Verfügung: Fabasoft Sicherheitsleitlinie

Mindbreeze Datenschutzerklärung:

Datenschutz hat einen besonders hohen Stellenwert im Fabasoft Konzern. Fabasoft AG und ihre Tochtergesellschaften (in der Folge: „Fabasoft“) haben sich dem Schutz von Informationen und insbesondere von personenbezogenen Daten verschrieben. Die Mindbreeze GmbH ist eine Tochtergesellschaft der Fabasoft AG (in der Folge: „Mindbreeze). Wie Mindbreeze personenbezogene Daten beispielsweise Vorname, Nachname, E-Mail-Adresse, Adresse oder Telefonnummer von externen Personen und Unternehmen verarbeitet und schützt, wird in dieser Datenschutzerklärung näher beschrieben.

Die Mindbreeze Datenschutzerklärung steht als PDF zum Download zur Verfügung: Mindbreeze Datenschutzerklärung.

Wenn Sie mehr Informationen zu unseren Zertifizierungen und Prüfungen benötigen, senden Sie Ihr Anliegen bitte an: trust@mindbreeze.com

Zertifizierte Sicherheit und Zuverlässigkeit

ISO 9001 - Qualitätsmanagement

Bereits seit 2005 hat Fabasoft ein zertifiziertes Qualitätsmanagementsystem gemäß der Norm ISO 9001.

Seitdem wird jährlich in einem externen Audit das Qualitätsmanagement durch ein führendes Prüfinstitut zertifiziert. Auditziele sind die Überprüfung der Konformität zum Anforderungsmodell und die Identifizierung von Potentialen für die Weiterentwicklung des Qualitätsmanagementsystems.

Fabasoft wurde im Oktober 2020 von der TÜV AUSTRIA CERT GMBH gemäß ISO 9001:2015 erfolgreich rezertifiziert.

Kontinuierliche Verbesserung

Das Qualitätsmanagementsystem bei Fabasoft ist ein lebendes System. Dies bedeutet, dass Arbeitsweisen, Prozesse und deren Dokumentation laufend den neuen Gegebenheiten angepasst und einer kontinuierlichen Verbesserung unterzogen werden. Alle geschäftsrelevanten Prozesse der Fabasoft sind in Form von grafischen Prozessdiagrammen in der Prozesslandschaft im internen System abgebildet. Die Weiterentwicklung, Prüfung und Freigabe dieser Prozesse liegt in der Verantwortung des Prozesseigners und ist für jeden Prozess definiert.

Ausrichtung auf Kundenorientierung

Ein strategisches Ziel von Fabasoft besteht in einer starken Ausrichtung des Qualitätsmanagementsystems auf Kundenorientierung. Die Kundenzufriedenheit hat bei Fabasoft einen hohen Stellenwert. Fabasoft-Kunden haben die Möglichkeit ihre Meinung und ihre Verbesserungsvorschläge bekannt zu geben. In regelmäßigen Treffen (User Group) können sie ihr Feedback direkt an die Fabasoft-Verantwortlichen weitergeben. Die Ergebnisse und Auswertungen zur Kundenbefragung werden analysiert und wieder in den Prozessen zur verbesserten Erfüllung der Kundenanforderungen eingearbeitet.

Geltungsbereich

Entwicklung und Vertrieb eigener Softwareprodukte, Cloud-Services, Software-as-a-Service Anwendungen und Appliances, sowie die Erbringung damit in Zusammenhang stehender Dienstleistungen.

Zertifikat herunterladen

ISO 20000-1- IT-Service-Management

Fabasoft erhielt im Mai 2011 erstmals das ISO 20000-1-Zertifikat für die IT-Services Folio Cloud (heute: Fabasoft Cloud) und Fabasoft Folio SaaS. Der Geltungsbereich wurde in weiterer Folge um Mindbreeze InSpire SaaS  erweitert. Die ISO-Norm 20000-1 ist ein international anerkannter Standard für IT-Service-Management-Systeme, in dem die Anforderungen für ein professionelles IT-Service-Management dokumentiert sind.

Umsetzung internationaler Standards

Mit dieser Zertifizierung unterstreicht Fabasoft seine Strategie, internationale Standards umzusetzen.

Die ISO 20000-1 dient als messbarer Qualitätsstandard für das IT-Service-Management (ITSM). Zielsetzung der ISO 20000 ist, IT-Services von hoher Qualität an den Kunden zu liefern. Die Ausrichtung auf die Bedürfnisse und Anforderungen der Kunden spielt dabei eine primäre Rolle.

ITIL Orientierung im IT Service Management

Der Standard dient als Instrument um Prozesse, wie sie durch die IT Infrastructure Library (ITIL) des Office Government Commerce (OGC) beschrieben sind, in einem optimierbaren Managementsystem zu integrieren. Dazu gehören Kernprozesse wie Change-, Release-, Incident-, Problem- oder Security Management.

Die Zertifizierung bringt viele Vorteile mit sich. Neben der gezielten Verbesserung der Abläufe durch die geregelte Struktur, lassen sich anhand von Kennzahlen die Service-Level-Einhaltung, die Kundenzufriedenheit und die Verfügbarkeit von Diensten besser messen.

Fabasoft wurde im Oktober 2020 von der TÜV AUSTRIA HELLAS gemäß ISO 20000-1:2018 erfolgreich rezertifiziert.

Geltungsbereich

Das IT Service Management System der Fabasoft zur Unterstützung der Bereitstellung von Fabasoft Cloud, Fabasoft Folio SaaS und Mindbreeze InSpire SaaS für interne und externe Kunden.

Zertifikat herunterladen

ISO 27001 & ISO 27018 - Informationssicherheit und Datenschutz

Fabasoft ist seit Juni 2008 nach ISO 27001 zertifiziert. Die Norm ist ein weltweit anerkannter Standard für die Sicherheit von Informationen und IT-Umgebungen. Im Jahr 2015 hat die Fabasoft im Rahmen des ISO 27001-Audits erstmals auch die Prüfung gemäß der ISO 27018 erfolgreich absolviert. 

Klar definierte Standards

Der Gültigkeitsbereich der Norm spezifiziert die Anforderungen an ein vollständiges Informationssicherheits-Management, in Bezug auf alle IT- und Geschäftsprozesse sowie auf alle sensiblen Informationen des Unternehmens. Die ISO 27001-Zertifizierung bedeutet für die Kunden die Einhaltung von klar definierten technischen und sicherheitsbezogenen Standards und damit definierten Service-Levels der Fabasoft-Rechenzentren.

Der internationale Standard ISO 27018 formuliert datenschutzrechtliche Anforderungen für Cloud-Dienstleister. Diese müssen umfangreiche Benachrichtigungs-, Informations-, Transparenz- und Nachweispflichten erbringen, um bei Kunden und Behörden Vertrauen hinsichtlich der Verarbeitung von personenbezogenen Daten in der Cloud zu schaffen.

Kontinuierliche Anpassung

Die periodische interne Überprüfung der im Zuge der ISO 27001 inkl. ISO 27018 festgelegten Prozesse und Maßnahmen ist die Basis für die Weiterentwicklung der internen IT-Sicherheitsstandards und beinhaltet auch die kontinuierliche Anpassung an sich verändernde Rahmenbedingungen und Aufgabenstellungen.

Fabasoft wurde im Oktober 2020 von der TÜV AUSTRIA Deutschland GmbH gemäß ISO 27001 inkl. ISO 27018 erfolgreich rezertifiziert.

Geltungsbereich

Entwicklung und Vertrieb eigener Softwareprodukte, Cloud-Services, Software-as-a-Service Anwendungen und Appliances, sowie die Erbringung damit in Zusammenhang stehender Dienstleistungen.

Zertifikat herunterladen

BSI C5 Logo

BSI C5:2020

Mindbreeze erhielt für ihren Service Mindbreeze InSpire SaaS das Testat nach den Anforderungen des Anforderungskataloges C5 (Cloud Computing Compliance Criteria Catalogue, kurz C5), herausgegeben vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Bei Mindbreeze InSpire SaaS wird der Service in Rechenzentren von Mindbreeze professionell für die Kunden betrieben. Das C5 Testat nach den Anforderungen des BSI ist für alle Mindbreeze Kunden ein anerkannter und verlässlicher Nachweis, der das hohe Niveau an Informationssicherheit der Mindbreeze InSpire SaaS Services nachvollziehbar offenlegt. Die KPMG Alpen-Treuhand GmbH Wirtschaftsprüfungs- und Steuerberatungsgesellschaft stellte das Testat bis 2020 aus.

Nach dem erstmaligen Audit gemäß BSI Standard C5:2020 Anfang 2021 wurde diese Prüfung Anfang 2022 im Auftrag der Mindbreeze erneut durch die PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft, Deutschland, durchgeführt.

Das C5 Testat (ISAE 3000 Report Type 2) ist für alle Kunden, die Mindbreeze in der Cloud (Mindbreeze InSpire SaaS) nutzen, ein anerkannter und verlässlicher Nachweis, der das hohe Niveau an Informationssicherheit nachvollziehbar offenlegt.

Der Anforderungskatalog des BSI legt fest, welche Mindestanforderungen Cloud-Dienstleister erfüllen müssen. Die Angaben zu den Rahmenbedingungen des Cloud-Dienstes dienen der zusätzlichen Information der Kunden über das von Mindbreeze gebotene Niveau an Informationssicherheit und gewährleisten die Transparenz hinsichtlich Angaben zu Gerichtsbarkeit und Lokationen, Verfügbarkeit und Störungsbeseitigung im Normalbetrieb, Wiederanlaufparametern im Notbetrieb, Verfügbarkeit der Rechenzentren, Umgang mit Ermittlungsanfragen staatlicher Stellen und Zertifizierungen oder Bescheinigungen.

Für weitere Informationen zum Auditbericht kontaktieren Sie uns bitte unter trust@mindbreeze.com.

ISAE 3000 SOC2 TYP 2

Mindbreeze hat die Prüfung nach SOC2 Typ 2 für ihre Mindbreeze InSpire SaaS Services Anfang 2022 abgeschlossen. Die PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft, Deutschland, stellte den Prüfbericht aus.

Im Rahmen des Auditprozesses überprüfte PwC, ob die Trust Service Criteria (TSC) für Security – herausgegeben vom American Institute of Certified Public Accountants (AICPA) – eingehalten werden. Dazu wurden die vorhandenen internen Kontrollmechanismen für die angebotenen Services beispielsweise in Bezug auf Risikominimierung, Zugangskontrollen, Überwachungsmaßnahmen oder Kommunikation untersucht und dokumentiert. Die Prüfung gestaltete sich in Form eines ISAE 3000 Typ 2 Audits (Prüfung der Kontrolldurchführung innerhalb eines definierten Prüfzeitraums). Die finalen Prüfungsergebnisse erhielt Mindbreeze als ISAE 3000 SOC2 Typ 2 Report.

Für weitere Informationen zum Auditbericht kontaktieren Sie uns bitte unter trust@mindbreeze.com.

ISAE 3402 TYPE 2

Der International Standard on Assurance Engagements (ISAE 3402) ist der internationale Prüfungsstandard, der die Wirksamkeit des internen Kontrollsystems (IKS) von Dienstleistungsorganisationen beurteilt. Der Standard wurde vom International Auditing and Assurance Standards Board (IAASB) als Nachfolger des SAS 70 Standard geschaffen. Bis ins Jahr 2011 wurde Fabasoft nach dem SAS 70 Type II-Berichtstandard des AICPA geprüft.

ISAE 3402 zielt darauf ab, das interne Kontrollsystem einer Organisation umfassend zu testen und hinsichtlich seiner Effektivität im Detail zu bewerten. Die Prüfung erfolgt über einen Zeitraum von zwölf Monaten. Der ISAE 3402-Prüfbericht beinhaltet die Meinung einer externen Prüfgesellschaft über das Kontrollwesen beim Serviceanbieter, eine Beschreibung der Kontrollpunkte, der Prüfmethode und Kontrollen, Angaben über die Prüfperiode und eine Aussage über die Wirksamkeit der Kontrollen.

Für weitere Informationen zum Auditbericht kontaktieren Sie uns bitte unter trust@mindbreeze.com.

BARRIEREFREIHEIT

Im Sinne der Gleichstellung von Behinderten und deren Integration in Gesellschaft und Arbeitswelt ist eine barrierefreie Nutzungsmöglichkeit von Software unumgänglich – zumal die entsprechenden Gesetze dies auch rechtlich festlegen. Mindbreeze InSpire bietet einen barrierefreien Zugang für nahezu alle Arten von Behinderung.

Mindbreeze InSpire ist die erste Enterprise Search- und Big Data-Lösung, welche von der Pfennigparade im November 2015 bewertet wurde. Der übliche und anerkannte Maßstab für die Bewertung von Internetangeboten ist der BITV-Test, der hier durch einen Gebrauchstauglichkeitstest ergänzt wurde, um alle Testkriterien abzudecken. Mindbreeze InSpire (Search Appliance) hat im Rahmen eines BITV-Tests mit einem Gesamtergebnis von 98,75 Punkten abgeschnitten. Die Komponente ist damit sehr gut zugänglich.

REVISIONSSICHERE ARCHIVIERUNG

Die Vision vom papierlosen Büro ist so alt wie der erste IBM-Rechner, der auf einem Schreibtisch Platz hatte – und seitdem werden wir vertröstet. Nicht ganz unschuldig sind Regeln und Vorschriften zur Aufbewahrung von Geschäftsunterlagen. Rechnungen, Verträge, buchhaltungsrelevante Dokumente, für alles gibt es teils unterschiedliche Fristen, die von wenigen Jahren bis zu für immer und ewig liegen können.

Fabasoft Folio ist ein großer Schritt in die richtige Richtung, da durch die revisionssichere elektronische Archivierung sowohl finanzielle Aufwendungen als auch der Platzbedarf für eine Aufbewahrung in Papierform wegfallen.

Geprüfte Qualität

Die Prüfer von PricewaterhouseCoopers gingen bei diesem Audit nach einer Checkliste vor. Einige der wichtigsten Punkte, bei denen selbstverständlich keine Beanstandungen gefunden wurden, waren:

  • Der Zugang zu den Daten. Bereits im Rahmen der Prüfung zu ISAE 3402 Type II wurden die Zutrittsbeschränkungen im virtuellen und physischen Raum abgeklopft und für ausreichend befunden. Kundendaten sind sicher vor unbefugten Augen.
  • Es ist nicht möglich, Daten nachträglich zu verändern.
  • Es ist nicht möglich, relevante Dokumente vor Ablauf der Aufhebefrist zu löschen – auch nicht für Administratoren bei Fabasoft.
  • Der Prozess vom Papier ins elektronische Archiv ist ausreichend abgesichert.
  • Sämtliche gesetzlichen Vorgaben werden eingehalten.

Web Accessibility Certificate Austria (WACA) für Barrierefreiheit im Web

WACA ist Österreichs erstes und einziges Qualitätssiegel um Barrierefreiheit im Web nach den internationalen W3C-Richtlinien nach außen hin erkennbar zu machen. Das Zertifikat der Initiative WACA und der unabhängigen Zertifizierungsstelle TÜV Austria soll die Zugänglichkeit für alle Menschen auf der fachlich geprüften Website gewährleisten.

Mindbreeze erfüllt die Anforderungen der WCAG 2.1 - AA in hohem Maße und wurde aus diesem Grund mit Silber ausgezeichnet.

Folgende Kriterien müssen für das Web Accessibility Certificate Austria (WACA) in Silber eingehalten werden:

  • Website erfüllt weitestgehend die WCAG 2.1 - AA Erfolgskriterien
  • Der gesamte Inhalt ist für alle BenutzerInnen zugänglich
  • Die Grundfunktionalität ist für alle BenutzerInnen uneingeschränkt zugänglich
  • Teile der erweiterten/optionalen Funktionalität sind für einige BenutzerInnen umständlicher zu bedienen, aber trotzdem zugänglich

 

Zertifikat herunterladen

Datensicherheit: Sicherheit von Kundendaten

Die Mindbreeze-Kundendaten liegen bei Fabasoft auf eigenen Servern in eigens geschützten Netzen, auf die nur einige wenige, ausgewählte Personen der Betriebsführung Zugriff haben. Selbst die Mitarbeiter der Betriebsführung haben keine Berechtigung auf Kundendaten zuzugreifen. Diese Mechanismen werden regelmäßig von externen Stellen bei Audits überprüft. Zusammenfassend ist es so, dass Kundendaten nicht von Mitarbeitern eingesehen werden.

Fabasoft Verhaltenskodex

Als Geschäftspartner von Mindbreeze, die Teil der Fabasoft Gruppe ist, akzeptieren die Auftragnehmer die Einkaufsbedingungen der Fabasoft AG und ihrer Tochterunternehmen und alle damit verbundenen Vereinbarungen, einschließlich des Fabasoft Verhaltenskodex für Auftragnehmer – siehe https://www.fabasoft.com/de/ueber-uns/nachhaltigkeit-und-compliance